Le ministère fédéral de la Justice en Allemagne a rédigé une loi pour fournir une protection juridique aux chercheurs en sécurité qui découvrent et signalent de manière responsable les vulnérabilités de sécurité aux fournisseurs.

Lorsque des recherches de sécurité sont menées dans les limites spécifiées, les responsables seront exclus de la responsabilité pénale et du risque de poursuites.

« Ceux qui veulent combler les lacunes de sécurité informatique méritent une reconnaissance—pas une lettre du procureur », a déclaré le ministre fédéral de la Justice, le Dr Marco Buschmann.

« Avec ce projet de loi, nous éliminerons le risque de responsabilité pénale pour les personnes qui assument cette tâche importante », mentionne le ministre dans le même communiqué.

De plus, l’amendement proposé à la loi pénale introduit des sanctions plus strictes pour les cas graves d’espionnage et d’interception de données, en particulier lorsque des infrastructures critiques sont ciblées.

Protéger les chercheurs en sécurité
Le nouveau projet de loi modifie l’article 202a du Code pénal (StGB) pour protéger les chercheurs en sécurité informatique, les entreprises et les soi-disant « pirates informatiques » des sanctions prévues par le droit pénal informatique.

Cela s’applique lorsque leurs actions sont effectuées pour détecter et fermer une faille de sécurité, tant qu’elles ne sont pas considérées comme « non autorisées ». »

Les critères à remplir pour la recherche en sécurité sont les suivants:

  1. L’action doit être menée dans le but d’identifier une vulnérabilité ou un autre risque de sécurité dans un système informatique.
  2. Le chercheur doit avoir l’intention de signaler la faille de sécurité identifiée à une entité responsable capable de résoudre le problème, telle que l’opérateur du système, le fabricant du logiciel ou l’Office fédéral de la sécurité de l’information (BSI).
  3. L’acte d’accéder au système doit être nécessaire pour identifier la vulnérabilité. Cela garantit que l’exemption ne s’applique que dans la mesure requise pour les tests de sécurité, sans accès inutile ou excessif.

La même exclusion de responsabilité pénale s’applique également aux infractions relatives à l’interception de données (§ 202b StGB) et à la modification de données (§ 303a StGB) tant que les actions y afférentes sont réputées autorisées.

Dans le même temps, le projet de remplissage introduit une peine allant de trois mois à cinq ans d’emprisonnement pour les cas graves d’espionnage malveillant de données et d’interception de données (§ 202a StGB).

En ce qui concerne ce qui constitue un cas grave, le projet de loi mentionne les cas suivants:

  • L’infraction entraîne des dommages financiers substantiels.
  • L’acte était motivé par un motif de profit, commis à une échelle commerciale ou commis dans le cadre d’une organisation criminelle.
  • Les cas qui compromettent des infrastructures critiques—comme les hôpitaux, les fournisseurs d’énergie ou les réseaux de transport—ou affectent la sécurité de l’Allemagne ou de l’un de ses États, y compris les attaques provenant de l’étranger.

Plus de détails sur le projet de loi et les amendements proposés sont disponibles ici.

Les États fédéraux et les associations concernées l’ont reçu pour examen et ont jusqu’au 13 décembre 2024 pour soumettre leurs commentaires avant qu’il ne soit présenté au Bundestag pour délibération parlementaire.

Le département américain de la Justice a annoncé une révision similaire de la Loi sur la fraude et les abus informatiques (CFAA) en mai 2022, introduisant des exclusions de poursuites pour les chercheurs en sécurité « de bonne foi ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *